iptables fehlermeldung beim start!

[jochii]

Hab mir nen Script für meine bedürfnisse gebastelt aber ich bekomme die meldung 'Permission Denied' kann es an diesem Script liegen oder was???

Code: Select all

##iptables konfiguration
# Externes Interface
INET_IP="217.160.xxx.xxx"
INET_IFACE="eth0"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/usr/sbin/iptables"

echo 'Starte Firewall'

# Laden der benötigten Kernel-Module
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

#  IP-Forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward

## Ketten
# Default-Policy -> alles droppen
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# Eigene Tables anlegen, um Paketgruppen zu definieren
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets

# "Böse" Pakete werden direkt "aussortiert"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG 
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# "Normale" Pakete durchlassen
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# Benötigte Ports öffnen

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 22 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 53 -j allowed
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport 53 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 443 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3306 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 10001 -j allowed

# ICMP auf's nötigste Begrenzen (echo request und time exceeded)
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# Input-Table
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state STABLISHED,RELATED   -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

#ping of death, Syn- flood, Verstohlene portscanner schutz

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit 1/s -j ACCEPT
$IPTABLES -A INPUT -p tcp --syn -m limit 1/s -j ACCEPT
$IPTABLES -A INPUT -p tcp -tcp-flags syn,ack,fin,rst RST -m limit 1/s -j ACCEPT

#Trojaner Blocken
#Block Back Orifice
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 31337 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p udp -s 0/0 -d $NET --dport 31337 -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 31337 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p udp -s $NET -d 0/0 --dport 31337 -m limit --limit 2/minute -j $STOP

#Block Trinity v3
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 33270 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p udp -s 0/0 -d $NET --dport 33270 -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 33270 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p udp -s $NET -d 0/0 --dport 33270 -m limit --limit 2/minute -j $STOP

#Block Subseven (1.7/1.9)
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 1234 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 6711 -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 1234 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 6711 -m limit --limit 2/minute -j $STOP

#Block Stacheldraht
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 16660 --syn -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 60001 --syn -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 16660 --syn -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 60001 --syn -m limit --limit 2/minute -j $STOP

#Block NetBus
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 12345:12346 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p udp -s 0/0 -d $NET --dport 12345:12346 -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 12345:12346 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p udp -s $NET -d 0/0 --dport 12345:12346 -m limit --limit 2/minute -j $STOP

#Block Trin00
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 1524 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p tcp -s 0/0 -d $NET --dport 27665 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p udp -s 0/0 -d $NET --dport 27444 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A INPUT -p udp -s 0/0 -d $NET --dport 31335 -m limit --limit 2/minute -j $STOP

$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 1524 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p tcp -s $NET -d 0/0 --dport 27665 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p udp -s $NET -d 0/0 --dport 27444 -m limit --limit 2/minute -j $STOP
$IPT -t filter -A OUTPUT -p udp -s $NET -d 0/0 --dport 31335 -m limit --limit 2/minute -j $STOP

# Forward-Table (theoretisch unnötig für Rootserver)
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets


$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG 
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

# Output-Table
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

Bin als Root auf der Konsole und hab versucht das Script mit ./firewall.sh zu starten.
Für ne Schnelle hilfe wär ich dankbar...


gruss jochii

[captaincrunch]

Hast du das Script denn auch mit (z.B.) chmod u+x ausführbar gemacht ? Desweiteren könnte es nicht schaden wenn du ein #!/bin/sh in die erste Zeile des ganzen setzt.

[s20]

hallo,

wozu blockst due trojaner? macht für meine begriffe wenig sinn. wo kein dienst, da auch keine firewall nötig.


s20

[captaincrunch]

Zum einen stellt sich mir genau die Frage nach den Trojanern auch. Viel witziger ist es doch, z.B. einen FakeBO laufen zu lassen, und die ScriptKiddies an der Nase rumzuführen ...

Eine Sache ist mir noch dazu aufgefallen (außer der Tatsache, dass du mein gutes altes Script erweitert hast ) : Beim blocken der Trojaner verwendest die die Variable $IPT, was so ganz bestimmt nicht funktionieren wird, da die Variable $IPTABLES heißen muss (die dann auf das richtige Binary verweist).

[bjr]

Mal ne wirklich, wirklich total dumme Anfängerfrage, die eigentlich auch ins Newbieforum gehört ...

Ich habe jetzt schon viele Beispiele für iptables gesehen, aber wie bringe ich den Rechner überhaupt dazu diese auch zu starten, sprich wohin speichere ich das Script, nenne ich es und wie bringe ich es dem Rechner bei ?

[captaincrunch]

aber wie bringe ich den Rechner überhaupt dazu diese auch zu starten, sprich wohin speichere ich das Script

Wohin du das legst ist prinzipiell ziemlich egal. Scripte, die beim Start ausgeführt werden, liegen im Normalfall aber unter /etc/init.d.

nenne ich es und wie bringe ich es dem Rechner bei

Wie du das ganze nennst, bleibt vollkommen dir überlassen. Es wäre gut, wenn du den Stadardrunlevel deines Systems kennen würdest (bei SuSE im Normalfall 3 -> Mehrplatzsystem inkl. Netzwerk). Den kannst du ganz leicht rauskriegen, indem du dir die Datei /etc/inittab anschaust, und nach der Zahl vor "initdefault" suchst.

Wenn du das ganze bei jedem Start ausführen lassen möchtest, gehst du am besten folgendermaßen vor :
1. Leg das Script am besten unter /etc/init.d ab
2. Finde den Standardrunlevel deines Systems raus
3. Geh ins Verzeichnis /etc/rc{Stadardrunlevel}.d (die geschweiften Klammern dabei bitte weglassen)
4. Leg einen (symbolischen) Link auf dein Script an

Code: Select all

ln -s /etc/init.d/firewall.sh S98firewall

Das große "S" am Anfang ist dabei wichtig, da du init damit mitteilst, dass es ein Startscript ist (K steht dabei für Scripte, die beim Runterfahren ausgeführt werden). Ach ja, in diesem Beispiel gehe ich davon aus, dass dein Script unter /etc/init.d liegt und firewall.sh heißt ...

Hoffe, das hilft dir weiter ... und bevor ich hier noch Schelte von ein paar Leuten hier bekomme : Nein, ich möchte niemanden dazu ermutigen, einen Paketfilter einzusetzen ...

[bjr]

Danke für die ausführliche Hilfe, aber wenn ich das Script zum Testen aufrufe kommt dabei nur folgendes heraus :

Code: Select all

depmod: *** Unresolved symbols in /lib/modules/2.4.18/kernel/fs/ftpfs/ftpfs.o
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: --log-prefix: command not found
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: -j: command not found
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: --log-level: command not found
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: --log-level: command not found
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory
firewall.sh: /sbin/iptables: No such file or directory

[captaincrunch]

Poste doch mal dein Script, dann kann man dir eher weiterhelfen. Auf jeden Fall scheinst du das ftpfs-Modul nicht in deinem Kernel zu haben, daher kommt die erste Fehlermeldung.

[bjr]

Das Script entstammt dem Forum und Deiner Empfehlung :

Code: Select all

#!/bin/sh 
### Grundkonfiguration 
# Externes Interface 
INET_IP="217.160.x.x" 
INET_IFACE="eth0" 
# Internes Interface 
LO_IFACE="lo" 
LO_IP="127.0.0.1" 
# Pfad zu iptables-Binary 
IPTABLES="/sbin/iptables" 

# Laden der benötigten Kernel-Module 
/sbin/depmod -a 
/sbin/modprobe ip_tables 
/sbin/modprobe ip_conntrack 
/sbin/modprobe iptable_filter 
/sbin/modprobe iptable_mangle 
/sbin/modprobe iptable_nat 
/sbin/modprobe ipt_LOG 
/sbin/modprobe ipt_limit 
/sbin/modprobe ipt_state 

# Aktivierung IP-Forwarding 
echo "1" > /proc/sys/net/ipv4/ip_forward 

### Regelwerk 
# Default-Policy -> alles droppen 
$IPTABLES -P INPUT DROP 
$IPTABLES -P OUTPUT DROP 
$IPTABLES -P FORWARD DROP 

# Neue Tables anlegen, um Paketgruppen zu definieren 
$IPTABLES -N bad_tcp_packets 
$IPTABLES -N allowed 
$IPTABLES -N icmp_packets 
$IPTABLES -N tcp_packets 

# "Böse" Pakete werden direkt "aussortiert" 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG  
--log-prefix "New not syn:" 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP 

# "Normale" Pakete durchlassen 
$IPTABLES -A allowed -p TCP --syn -j ACCEPT 
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT 
$IPTABLES -A allowed -p TCP -j DROP 

# Benötigte Ports öffnen 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 443 -j allowed 

# ICMP auf's nötigste Begrenzen (echo request und time exceeded) 
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT 
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT 

# Input-Table 
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets 
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT 
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED  
-j ACCEPT 
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets 
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets 
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets 
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG  
--log-level DEBUG --log-prefix "IPT INPUT packet died: " 

# Forward-Table (theoretisch unnötig für Rootserver) 
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets 
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG  
--log-level DEBUG --log-prefix "IPT FORWARD packet died: " 

# Output-Table 
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets 
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT 
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT 
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT 

und ich habe direkt in eine geöffnete Datei im vi kopiert (über Copy+Paste mit Putty)

[jochii]

Hallo wieder...

Das mit dem #!/bin/sh in der ersten Zeile... dass hab ich aus versehen nicht mitkopiert... :oops:

Ich hab tatsächlich vergessen dir chmod- Rechte zu setzen danke für den Tip...

Die Trojaner fliegen Raus -Recht habt ihr wo nix is da brauch man nicht zu Blocken!!

Dass mit der Variable $IPT hat sich ja dann erledigt...

Danke für deine Hilfe CaptainCrunch hat mir viel weitergeholfen!!

PS: eine Frage hab ich noch... Kann mir ein solches Script den Server Abschiessen???

[captaincrunch]

@bjr :
Du musst die Variable IPTABLES auf dein IPTables-Binary setzen. Den Pfad bekommst du mit which iptables raus. Diese Ausgabe musst du dort eintragen.
Was die Fehlermeldung mit dem "--log-prefix" angeht : hast du in den Zeilen, bevor das auftaucht auch den Backslash mit reinkopiert ? Sonst klappt das nämlich nicht ...

@jochii :
Kein Problem, war ja nicht so schwer
Zu deiner Frage : Das Script an sich wird dir den Server nicht abschießen. Wenn du aber natürlich z.B. den SSH-Port dichtmachst, hast du ein kleines Problem. Es liegt also alles an dir ...

[bjr]

Hi CaptainCrunch !

Danke für den Tip mit iptables. Das mit dem hat sich auch geklärt hatte es auf anderer Zeile geschrieben, ist jetzt

Code: Select all

... LOG --log-prefix "New not syn:"

Jetzt kommt auch nur noch eine Fehlermeldung :

Code: Select all

depmod: *** Unresolved symbols in /lib/modules/2.4.18/kernel/fs/ftpfs/ftpfs.o

und danach wird die Verbindung vom Server gekappt ...

[captaincrunch]

Hast du mal ein lufs kompiliert ? Irgednwie scheint's Probleme mit dem FTP-Filesystem-Modul (ftpfs) zu geben.

Bezüglich des Verbindungsabbruchs : kannst du dich denn danach mit einer zweiten Session einloggen ?

[bjr]

lufs :?:

Eine zweite Session ist danach möglich, ja. Aber warum sind denn nicht alle Rootserver gleich konfiguriert, bei anderen scheint dieses Firewall-Script ja zu funktionieren.

[ghaslbe]

ne, hab auch die gleichen probleme wie du (bjr).
server gestern abend bekommen...

[zero]

Tja bei mir macht der Server mit diesem Script eine biege.. musste ihn neustarten gestern.


Wobei mich das etwas wundern. Habe es zwei mal ausprobiert und zwei mal durfte ich neustarten..

[captaincrunch]

Hast du dich mal mit einer zweiten Session verbunden ? Die, mit der du das ganze startest fliegt dabei halt weg, das ist aber normal.

[bjr]

Also mit der neuen Session rein geht problemlos und iptables zeigt auch eine ganze Menge Infos an, das einzige was mich jetzt noch stutzig macht, ist die Fehlermeldung mit ftpfs

[captaincrunch]

Das muss am SuSE-Kernel liegen, da kann ich nicht mitreden ...

[zero]

Supi habe das Script jetzt moch mal gestartet und mein Server ist wieder komplett offline alles weg...

[captaincrunch]

Nochmal die Frage : war der Server auch noch weg, nachdem du dich mit einem zweiten Terminal verbunden hast, oder ging auch das nicht mehr ?

[marcusj]

hallo zusammen,
als rootserver-besitzer habe ich natürlich auch mit dem thema firewall begonnen zu befassen und entsprechend die diskussionen im forum gelesen.
bei mir läuft suse 8.1 und confixx 2.0 => statt proftpd jetzt vsftpd.
wenn ich nun das firewall-skript von CaptainCrunch starte bekomme ich
(port 20+21 für tcp accept eingetragen)

1. folgende fehlermeldung:

iptables v1.2.7a: Couldn't load target `udpincoming_packets':/usr/lib/iptables/libipt_udpincoming_packets.so: cannot open shared object file: No such file or directory

google gibt zu dieser datei auch keine auskunft ...
2. kann ich mich zwar per ftp einloggen, ein list geht aber nicht
3. in den logs finde ich folgenden eintrag:

vsftpd: PAM-listfile: Couldn't open /etc/ftpusers

wenn ich den rechner reboote und die standardkonfiguration von 1&1 belasse funzt vsftpd wieder ganz normal.

frage: was mache ich falsch und wie kann ich mal die standard-konfiguration auslesen ?

danke


marcus

[Anonymous]

Ich habe gerade mal das Script von bjr probiert und bekomme dabei die folgende Fehlermeldung:

iptables v1.2.7a: Couldn't load target `udpincoming_packets':/usr/lib/iptables/libipt_udpincoming_packets.so: cannot open shared object file: No such file or directory

[marcusj]

schau Dir hier mal die Erklärung von CaptainCrunch an. Ist zwar nur der Grund und keine Lösung, aber vielleicht hilft Dir das - ich hatte noch keine Zeit zu suchen, könnte mir aber vorstellen, dass es am Kernel liegt ...

Marcus